En nuestro primer post sobre seguridad queremos compartirles sobre un software que descubrimos hace un tiempo atrás en una charla sobre Voz IP y Seguridad, el nombre del software es Api Ban, el mismo es Open Source y se puede instalar en cualquier Sistema Operativo basado en Linux, la idea consiste en que los desarrolladores tienen x cantidad de HoneyPots abiertos a Internet, así han ido capturando una buena cantidad de IPs de servidores que tratan de hackear las Centrales Telefónicas basadas en SIP, a continuación desglosaremos la instalación para Centos 7 en adelante, la misma se puede aplicar a sistemas basados en Debian
- mkdir /usr/local/bin/apiban
- cd /usr/local/bin/apiban
- wget https://github.com/palner/apiban/raw/v0.7.0/clients/go/apiban-iptables-client
- wget https://raw.githubusercontent.com/palner/apiban/v0.7.0/clients/go/apiban-iptables/config.json
- chmod +x *
Usando nuestro editor favorito, actualizaremos el archivo config.json con nuestra llave APIBAN (la misma se consigue en el siguiente link https://www.apiban.org/getkey.html.
Nota: Si actualiza desde una versión anterior, agregue “FLUSH”:”200″ a su config.json
La salida del registro se guarda en /var/log/apiban-client. ¿Quieres rotar el registro? aquí hay un ejemplo
cat > /etc/logrotate.d/apiban-client << EOF
/var/log/apiban-client.log {
daily
copytruncaterotate 7compress
}
EOF
Lo siguiente será crear un archivo CRON que se ejecute cada 4 minutos, este ejecutará el archivo apiban-iptables-client, y se conectará con los servidores externos para verificar si hay nuevas direcciones IPs que banear. Editamos el archivo /etc/crontab
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
*/4 * * * * root /usr/local/bin/apiban/apiban-iptables-client >/dev/null 2>&1
Si queremos comprobar si el script esta funcionando bien podemos ejecutar /usr/local/bin/apiban/apiban-iptables-client, seguido de iptables-save | grep API (este último comando leerá la lista de lineas en IPTABLES y buscará las que contengan el TAG de API)